Empfehlungen für die Bedrohungsanalyse
Gilt für diese Power Platform Well-Architected Sicherheitschecklisten-Empfehlungen:
| SE:02 | Integrieren Sie ein sicheres Design, indem Sie Bedrohungsmodellierung zum Schutz vor sicherheitsgefährdenden Implementierungen verwenden. |
|---|
Eine umfassende Analyse zum Identifizieren von Bedrohungen, Angriffen, Sicherheitsrisiken und Gegenmaßnahmen ist in der Entwurfsphase einer Workload von entscheidender Bedeutung. Die Bedrohungsmodellierung ist eine technische Übung, die das Definieren von Sicherheitsanforderungen, das Identifizieren und die Entschärfung von Bedrohungen sowie die Überprüfung dieser Abhilfemaßnahmen umfasst. Sie können diese Technik in jeder Phase der Anwendungsentwicklung oder -produktion verwenden, sie ist aber während der Entwurfsphasen neuer Funktionen am effektivsten.
In diesem Leitfaden werden die Empfehlungen für die Bedrohungsmodellierung beschrieben, damit Sie Sicherheitslücken schnell identifizieren und Ihre Sicherheitsmaßnahmen entwerfen können.
Definitionen
| Begriff | Definition |
|---|---|
| Software Development Lifecycle (SDLC) | Ein mehrstufiger, systematischer Prozess zur Entwicklung von Softwaresystemen. |
| STRIDE | Eine von Microsoft definierte Taxonomie zum Kategorisieren von Bedrohungstypen. |
| Bedrohungsmodellierung | Ein Prozess zum Identifizieren potenzieller Sicherheitsrisiken in der Anwendung und im System, zum Minimieren von Risiken und zum Überprüfen von Sicherheitskontrollen. |
Wichtige Designstrategien
Die Bedrohungsmodellierung ist ein wichtiger Prozess, den eine Organisation in ihren SDLC integrieren sollte. Die Bedrohungsmodellierung ist nicht nur Aufgabe eines Entwicklers. Sie liegt in der gemeinsamen Verantwortung
- des Workloadteam, das für die technischen Aspekte des Systems verantwortlich ist,
- der Geschäftsbeteiligten, die die Unternehmensergebnisse kennen und ein berechtigtes Interesse an Sicherheit haben.
Häufig besteht hinsichtlich der geschäftlichen Anforderungen für kritische Workloads eine Diskrepanz zwischen der Unternehmensführung und technischen Teams. Diese Diskrepanz kann zu unerwünschten Ergebnissen führen, insbesondere bei Sicherheitsinvestitionen.
Berücksichtigen Sie bei der Bedrohungsmodellierung sowohl geschäftliche als auch technische Anforderungen. Das Workloadteam und die Geschäftsbeteiligten müssen sich auf sicherheitsspezifische Anforderungen der Workload einigen, damit sie angemessene Investitionen in die Gegenmaßnahmen tätigen können.
Die Sicherheitsanforderungen dienen als Leitfaden für den gesamten Prozess der Bedrohungsmodellierung. Um dies zu einer effektiven Übung zu machen, sollte das Workloadteam über eine Sicherheitsmentalität verfügen und in Tools zur Bedrohungsmodellierung geschult werden.
Verstehen des Umfangs der Übung
Ein klares Verständnis des Umfangs ist für eine effektive Bedrohungsmodellierung von entscheidender Bedeutung. Es hilft dabei, Anstrengungen und Ressourcen auf die kritischsten Bereiche zu konzentrieren. Zu dieser Strategie gehört das Definieren der Grenzen des Systems, die Bestandsaufnahme der zu schützenden Ressourcen und das Verständnis des Investitionsvolumens, das für Sicherheitskontrollen erforderlich ist.
Sammeln von Informationen zu den einzelnen Komponenten
Ein Ausgangspunkt für das Sammeln von Informationen ist ein Workloadarchitekturdiagramm , da es eine visuelle Darstellung des Systems bietet. Das Diagramm zeigt die technischen Dimensionen des Systems. Es zeigt beispielsweise Benutzerflows, wie Daten durch die unterschiedlichen Teile der Workload verschoben werden, Datensensibilitätsebenen und Informationstypen sowie Identitätszugriffspfade.
Diese detaillierte Analyse kann häufig Einblicke in potenzielle Sicherheitsrisiken im Entwurf liefern. Es ist wichtig, die Funktionalität jeder Komponente und ihre Abhängigkeiten zu verstehen.
Bewerten der potenziellen Bedrohungen
Analysieren Sie jede Komponente aus einer Außenperspektive. Wie einfach kann sich ein Angreifer beispielsweise Zugriff auf vertrauliche Daten verschaffen? Wenn Angreifer Zugriff auf die Umgebung erhalten, können sie sich seitlich bewegen und möglicherweise auf andere Ressourcen zugreifen oder diese sogar manipulieren? Diese Fragen helfen Ihnen zu verstehen, wie ein Angreifer Workloadressourcen ausnutzen kann.
Klassifizieren der Bedrohungen mithilfe einer Branchenmethodik
Eine Methode zum Klassifizierung von Bedrohungen ist STRIDE, die vom Microsoft Security Development Lifecycle verwendet wird. Durch das Klassifizieren von Bedrohungen können Sie die Art der einzelnen Bedrohung besser verstehen und geeignete Sicherheitskontrollen einsetzen.
Entschärfen der Bedrohungen
Dokumentieren Sie alle identifizierten Bedrohungen. Definieren Sie für jede Bedrohung Sicherheitskontrollen und die Reaktion auf einen Angriff, wenn diese Kontrollen fehlschlagen. Definieren Sie einen Prozess und einen Zeitplan, die die Gefährdung durch identifizierte Sicherheitsrisiken in der Workload minimieren, damit diese Sicherheitsrisiken nicht übersehen werden.
Gehen Sie nach dem Ansatz Sicherheitsverletzung annehmen vor. Er kann dabei helfen, die im Design erforderlichen Kontrollen zu ermitteln, um das Risiko zu mindern, wenn eine primäre Sicherheitskontrolle versagt. Bewerten Sie, wie wahrscheinlich es ist, dass die primäre Sicherheitskontrolle versagt. Wie groß ist das potenzielle Risiko für die Organisation, wenn die Kontrolle versagt? Und wie wirksam sind Ersatzkontrollen? Wenden Sie auf der Grundlage der Auswertung detaillierte Schutzmaßnahmen an, um potenzielle Ausfälle von Sicherheitskontrollen zu beheben.
Im Folgenden finden Sie ein Beispiel:
| Stellen Sie diese Frage | Um Kontrollen zu finden, die ... |
|---|---|
| Werden Verbindungen über Microsoft Entra authentifiziert und nutzen diese moderne Sicherheitsprotokolle, die das Sicherheitsteam genehmigt hat: - zwischen Benutzern und Anwendung? - zwischen Anwendungskomponenten und Diensten? – zwischen Benutzenden und einem KI-Assistenten (Agent)? |
einen nicht autorisierten Zugriff auf die Anwendungskomponenten und -daten verhindern |
| Beschränken Sie den Zugriff auf Konten, die Daten in der Anwendung schreiben oder ändern müssen? | eine unbefugte Datenmanipulation oder -veränderung verhindern |
| Wird die Anwendungsaktivität protokolliert und über Azure Monitor oder eine ähnliche Lösung in ein SIEM-System (Security Information and Event Management) eingespeist? | Angriffe schnell erkennen und untersuchen |
| Sind kritische Daten durch Verschlüsselung geschützt, die vom Sicherheitsteam genehmigt wurde? | das nicht autorisierte Kopieren ruhender Daten verhindern |
| Wird eingehender und ausgehender Netzwerkdatenverkehr in von Sicherheitsteams genehmigten Domänen isoliert? | das nicht autorisierte Kopieren von Daten verhindern |
| Ist die Anwendung durch IP-Firewalls in der Umgebung vor Zugriffen von externen/öffentlichen Orten wie Cafés geschützt? | Zugriffe von nicht autorisierten öffentlichen Orten verhindern |
| Speichert die Anwendung Anmeldeinformationen oder Schlüssel für den Zugriff auf andere Anwendungen, Datenbanken oder Dienste? | feststellen, ob bei einem Angriff mit Ihrer Anwendung andere Systeme angegriffen werden können |
| Erfüllen die Sicherheitskontrollen der Anwendung gesetzliche Anforderungen? | privaten Daten der Benutzer schützen und Bußgelder vermeiden |
Nachverfolgen der Ergebnisse der Bedrohungsmodellierung
Es wird dringend empfohlen, ein Threat Modeling Tool zu verwenden. Mit diesen Tools können Sie den Prozess der Identifizierung von Bedrohungen automatisieren und einen umfassenden Bericht über alle identifizierten Bedrohungen erstellen. Stellen Sie sicher, dass Sie die Ergebnisse allen interessierten Teams mitteilen.
Verfolgen Sie die Ergebnisse als Teil des Backlogs des Workloadteams, um eine zeitnahe Verantwortlichkeit zu ermöglichen. Weisen Sie Personen Aufgaben zu, die für die Minderung eines bestimmten Risikos verantwortlich sind, das die Bedrohungsmodellierung ergeben hat.
Wenn Sie der Lösung neue Funktionen hinzufügen, aktualisieren Sie das Bedrohungsmodell, und integrieren Sie es in den Codeverwaltungsprozess. Wenn Sie ein Sicherheitsproblem finden, stellen Sie sicher, dass es einen Prozess gibt, um das Problem basierend auf dem Schweregrad zu sortieren. Der Prozess sollte Ihnen dabei helfen, zu bestimmen, wann und wie das Problem behoben werden soll (z. B. im nächsten Release-Zyklus oder in einem schnelleren Release).
Regelmäßige Überprüfung geschäftskritischer Workloadanforderungen
Treffen Sie sich regelmäßig mit leitenden Sponsoren, um Anforderungen zu definieren. Diese Überprüfungen bieten die Möglichkeit, die Erwartungen in Einklang zu bringen und die Zuordnung operativer Ressourcen an die Initiative sicherzustellen.
Power Platform: schnellere Durchführung
Power Platform basiert auf einer Kultur und Methodik des sicheren Designs. Sowohl die Kultur als auch die Methodik werden ständig durch die Praktiken der in der Branche führenden Praktiken des Security Development Lifecycle (SDL) und der BedrohungsModellierung von Microsoft ständig verstärkt.
Der Überprüfungsprozess der BedrohungsModellierung stellt sicher, dass Bedrohungen während der Entwurfsphase identifiziert, eindämmt und überprüft werden, um sicherzustellen, dass sie eingedämmt wurden.
Die BedrohungsModellierung berücksichtigt auch alle Änderungen an Diensten, die bereits live sind, durch kontinuierliche regelmäßige Überprüfungen. Der Einsatz des STRIDE-Modells hilft, die häufigsten Probleme mit unsicherem Design zu lösen.
Microsofts SDL entspricht dem OWASP Software Assurance Maturity Model (SAMM). Beide basieren auf der Prämisse, dass sicheres Design ein integraler Bestandteil der Sicherheit von Webanwendungen ist.
Weitere Informationen finden Sie unter Top-10-OWASP-Risiken: Risikominderung in Power Platform.
Beispiel
Dieses Beispiel baut auf der IT-Umgebung (Information Technology) auf, die in den Empfehlungen zum Erstellen einer Sicherheitsbasis festgelegt wurde. Dieser Ansatz bietet ein umfassendes Verständnis der Bedrohungslandschaft in verschiedenen IT-Szenarien.
Entwicklunglebenszyklus-Personas. An einem Entwicklungslebenszyklus sind viele Personen beteiligt, darunter Entwickler, Tester, Endbenutzer und Administratoren. Alle können kompromittiert sein und Ihre Umgebung durch vorsätzlich geschaffene Sicherheitsrisiken oder Bedrohungen gefährden.
Potenzielle Angreifer. Angreifer stehen eine Vielzahl von Tools zur Verfügung, die jederzeit leicht eingesetzt werden können, um Ihre Sicherheitsrisiken zu erkunden und einen Angriff zu starten.
Sicherheitssteuerelemente. Identifizieren Sie im Rahmen der Bedrohungsanalyse Sicherheitsdienste von Microsoft Azure und Power Platform, die zum Schutz Ihrer Lösung verwendet werden sollen, und wie effektiv diese Lösungen sind.
Protokollauflistung. Protokolle von Power Platform-Ressourcen und anderen Komponenten Ihrer Workload, z. B. Azure-Ressourcen und lokale Komponenten, können an Application Insights oder Microsoft Purview gesendet werden, damit Sie das Verhalten Ihrer entwickelten Lösung verstehen und versuchen können, anfängliche Sicherheitslücken zu erfassen.
Sicherheitsinformationslösung für Ereignisveraltung (SIEM). Microsoft Sentinel kann bereits in einer frühen Phase der Lösung hinzugefügt werden, sodass Sie einige Analyseabfragen erstellen können, um Bedrohungen und Sicherheitsrisiken zu minimieren und Ihre Sicherheitsumgebung zu antizipieren, wenn Sie sich in der Produktion befinden.
Verwandte Informationen
- STRIDE-Modell
- Bedrohungsmodellierung
- Häufig gestellte Fragen zur Sicherheit in Power Platform
- Microsoft Identity Platform
- Security Development Lifecycle
- Azure AD Fortlaufende Zugriffsevaluierung
- Richtlinie für Inhaltssicherheit
- Azure DDoS Protection
- Compliance-Richtlinieneinstellungen von Microsoft Intune
Sicherheitscheckliste
Lesen Sie die vollständigen Empfehlungen.